KAFKA鉴权设计以及相关探讨

最新推荐文章于 2024-05-07 20:22:17 发布
最新推荐文章于 2024-05-07 20:22:17 发布
阅读量1.5k 收藏 16
点赞数 27
分类专栏: 分布式 Kafka 大数据 文章标签: kafka 分布式 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43845924/article/details/135960033
版权
分布式 同时被 3 个专栏收录
42 篇文章 1 订阅
订阅专栏
大数据
33 篇文章 1 订阅
订阅专栏
Kafka
9 篇文章 0 订阅
订阅专栏

文章目录

鉴权,分别由组成

  • : 表示身份认证,认证相关用户是否存在以及相关的用户名和密码是否一致
  • : 完成身份的后,还需要判断用户是否有相关操作的权限。

因此对于某一个用户来说,通常情况下,需要完成才能够满足一个完整的业务场景,因此通常将鉴权放在一起考量。本文探讨kafka的鉴权常用的鉴权方式以及相关鉴权设计方式。

1. kafka的鉴权设计

kafka通常不需要进行鉴权设计,但是由于一些项目的安全性要求,会进行要求鉴权配置

: 身份认证

身份的认证有4种方式:

  • SASL/GSSAPI:kerberos认证方式,一般使用随机密码的keytab认证方式,密码是加密的,也是企业里使用最多的认证方式,在0.9版本引入;
  • SASL/PLAIN:这种方式其实就是一个账号/密码的认证方式,不过它有很多缺陷,比如用户名密码是存储在文件中,不能动态添加,密码明文等等!这些特性决定了它比较鸡肋,但好处是足够简单,这使得我们可以方便地对它进行二次开发,在0.10版本引入;
  • SASL/SCRAM:针对SASL/PLAIN方式的不足而提供的另一种认证方式。这种方式的用户名/密码是存储中zookeeper的,因此能够支持动态添加用户。该种认证方式还会使用sha256或sha512对密码加密,安全性相对会高一些,在0.10.2版本引入;
  • SASL/OAUTHBEARER:是基于OAuth 2.0的认证框架,实现较为复杂,目前业内应该较少使用,在2.0版本引入。

: 操作权限
5种操作权限:
CREATE、READ、WRITE、DELETE、ADMIN 也就是 增、删、改、查、管理权限,

注:这5种权限中,delete是指对子节点的删除权限,其它4种权限指对自身节点的操作权限。

2. kafka鉴权应用范围

kafka的鉴权范围,通常会包括2个层面

  • broker之间的通信
  • 客户端跟kafka之间的通信

在这4种鉴权模式下,最常用的是SASL\PLAIN模式,能够在满足权限要求和kafka的性能损耗上取的比较好的这种,这种认证方式对kafka的性能损耗影响相对较小。本文重点介绍SASL\PLAIN模式的鉴权方式。

3. kafka鉴权的常用方法

3.1 SASL/GSSAPI

相关操作方法可以参考 大数据Hadoop之——Kafka鉴权认证(Kafka kerberos认证+kafka账号密码认证+CDH Kerberos认证)

3.2 SASL/PLAIN

SASL/PLAIN 是一种简单的用户名/密码认证机制,通常与 TLS 一起用于加密以实现安全认证。Kafka 支持 SASL/PLAIN 的默认实现,可以按照此处所述进行扩展以供生产使用。

3.2.1 配置jaas

在每个 Kafka 代理的配置目录中添加一个经过适当修改的 JAAS 文件,类似于下面的文件,我们将其命名为 kafka_server_jaas.conf 以用于本示例:

$ mkdir $KAFKA_HOME/config/userpwd
$ cat >$KAFKA_HOME/config/userpwd/kafka_server_jaas.conf <<EOF
KafkaServer {
    org.apache.kafka.common.security.plain.PlainLoginModule required
    username="admin"
    password="adminpasswd"
    user_admin="adminpasswd"
    user_kafka="123456"
    user_producer="producerpwd"
    user_consumer="consumerpwd";
};
EOF
  • 该文件中username和password是定义kafka集群broker节点之间认证的用户名和密码
  • user_开头配置的用户kafka和密码kafka是提供给外部应用连接kafka使用的,后面kafka使用此用户连接zookeeper。上面配置的 user_kafka=“123456”,用户为kafka,密码为123456
  • 上述配置中,创建了三个用户,分别为admin、producer和consumer(创建多少个用户,可根据业务需要配置,用户名和密码可自定义设置)
  • 通常使用这种方式,能够实现简易的租户配置,但是优雅控制租户的鉴权

3.2.2 配置服务启动参数

根据kafka的部署路径和启动脚本,启动时加载kafka_server_jaas.conf使之生效。

export KAFKA_OPTS="-Dzookeeper.sasl.client=false -Dzookeeper.sasl.client.username=zk-server -Djava.security.auth.login.config=/opt/bigdata/hadoop/server/kafka_2.13-3.1.1/config/userpwd/kafka_server_jaas.conf"

3.2.3 配置server.perperties

添加或者调整如下相关配置,指定相关认证方式

listeners=SASL_PLAINTEXT://0.0.0.0:19092
advertised.listeners=SASL_PLAINTEXT://xx.xx.xx.xx:19092
security.inter.broker.protocol=SASL_PLAINTEXT
sasl.mechanism.inter.broker.protocol=PLAIN
sasl.enabled.mechanisms=PLAIN
authorizer.class.name=kafka.security.authorizer.AclAuthorizer
allow.everyone.if.no.acl.found=true

正常启动kafka后,kafka服务端的鉴权配置已经调整完成。

更多使用方式参考文档 大数据Hadoop之——Kafka鉴权认证(Kafka kerberos认证+kafka账号密码认证+CDH Kerberos认证)

4. 参考文档

李姓门徒
关注
  • 27
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
KafkaKafka 配置 SASL_SSL jks鉴权验证方式
九师兄
08-07 4820
ssl.truststore.password = ke123456 # ssl.client.auth取值 request required none # request 代表服务器必须验证客户端 # required 代表服务器验证客户端,能验证就验证,验证不过就算了 # none 代表服务器不验证客户端 ssl.client.auth = required创建 SCRAM 证书。
Kafka鉴权与限流
tb77506668的博客
05-19 560
Kafka鉴权与限流 https://kafka.apache.org/21/documentation.html#security Overview 在 0.9.0.0 版本中,Kafka 社区添加了许多功能,这些功能可以单独或一起使用,以提高 Kafka 集群的安全性。 当前支持以下安全措施: 使用 SSL 或 SASL 验证从客户端(生产者和消费者)、其他代理和工具到代理的连接.Kafka 支持以下 SASL 机制: SASL/GSSAPI (Kerberos) - starting at
kafka安全认证与授权(SASL/PLAIN)
u011618288的博客
02-09 8037
快速搭建kafka SASL+ACL实现安全认证、授权 kafka SASL/PLAIN
基于ambari hdp的kafka用户授权读写权限
最新发布
Danger
05-07 600
基于ambari hdp的kafka用户授权读写权限
Kafka鉴权
jiuweiC的博客
11-21 862
kafka鉴权
鉴权kafka生产端(SCRAM)
长臂人猿的博客
10-27 2327
前言 kafka官网关于sasl_scram 鉴权Kafka消费端配置 创建SCRAM Credentials 依赖zk,需要先启动zk,然后在zk中创建存储SCRAM 凭证: cd kafkacluster/kafka_2.11-1.1.1 bin/kafka-configs.sh --zookeeper zkIP1:2181,zkIP2:2181,zkIP3:2181/lxgkafka --alter --add-config 'SCRAM-SHA-256=[password=admin-secr
KAFKA权限配置SASL/PLAIN身份验证
01-07
zookeeper集群SASL认证&KAFKA权限配置SASL/PLAIN身份验证 配置环境 JKD: 1.8 Kafka: 2.3.0 Zookeeper: 3.4.14 服务器名 kafka内网IP:PORT kafka外网IP:PORT zookeeper内网IP:PORT KAFKA01 192.168.1.157:9092 116.155.153.185:19092 192.168.1.157:2181 KAFKA02 192.168.1.158:9092 116.155.153.185:29092 192.168.1.157:2181 KAFKA03 192
Kafka核心设计与实践原理.zip
07-22
《深入理解Kafka:核心设计与实践原理》从Kafka的基础概念切入,循序渐进地转入对其内部原理的剖析。《深入理解Kafka:核心设计与实践原理》主要阐述了Kafka中生产者客户端、消费者客户端、主题与分区、日志存储、...
CDH平台kafka配置文件以及相关操作
07-07
CDH大数据平台kafka配置文件以及相关操作
分布式发布订阅消息系统Kafka架构设计
02-02
Kafka是一个消息系统,原本开发自LinkedIn,用作LinkedIn的活动流(activitystream)和运营数据处理管道(pipeline)的基础。现在它已为多家不同类型的公司作为多种类型的数据管道(datapipeline)和消息系统使用。...
Kafka设计原理
02-25
本文主要简单介绍Kafka设计原理。基本概念:broker:Kafka服务器,负责消息存储和转发topic:消息类别,Kafka按照topic来分类消息partition:topic的分区,一个topic可以包含多个partition,topic消息保存在各个...
【保姆式通关宝典】使用Kraft快速搭建Kafka集群(含服务鉴权
水到渠成
09-11 1922
【保姆式通关宝典】使用Kraft快速搭建Kafka集群+Sasl鉴权模式
kafka 开启认证授权
卷心菜投手
10-10 3490
kafka Kraft 模式 用户名密码 认证
实战:kafka、zookeeper SASL+ACL实现动态权限认证、授权
u011618288的博客
02-18 6467
kafka基于SASL/SCRAM 集合zookeeper SASL,实现安全认证、权限校验ACL。
kafka权限认证 topic权限认证 权限动态认证-亲测成功
yinjl123456的博客
11-20 1473
1、Kafka的权限分类身份认证(Authentication):对client 与服务器的连接进行身份认证,brokers和zookeeper之间的连接进行Authentication(producer 和 consumer)、其他 brokers、tools与 brokers 之间连接的认证。上一篇博文介绍了连接的身份认证。权限控制(Authorization):实现对于消息级别的权限控制,clients的读写操作进行Authorization:(生产/消费/group)数据权限。
kafka安全认证与授权(SASL-PLAIN)
Innocence_0的博客
02-25 1091
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…这是通过在规则末尾添加“/L”来完成的。这是一个争议比较大的问题,有的人会建议先学编程,而有的人会建议先学计算机基础,其实这都是要学的。
Kafka认证
Linux_cui的博客
12-09 4397
kafka认证
在需要 ClientId 鉴权Kafka 集群中,高效使用 Producer 和 Consumer 的方法
gelaozideha的博客
09-08 837
ClientId 在 Kafka 中主要用于标识和管理客户端应用程序,以及为监控、日志记录和资源管理提供支持。通过为每个客户端分配唯一的 ClientId,你可以更好地跟踪和管理 Kafka 集群中的各个客户端连接。然而在某些公司,ClientId 是用于鉴权和限流的,因此在使用 Kafka 时需要确保 ClientId 与申请 Topic 时的 ClientId 保持一致。
springboot整合kafka 鉴权
10-18
在Spring Boot中整合Kafka鉴权可以通过配置Kafka的安全协议来实现。具体步骤如下: 1. 在Kafka服务器端配置安全协议,包括SSL和SASL认证等。 2. 在Spring Boot应用程序中配置Kafka的安全协议,包括SSL和SASL认证等。 3. 在Spring Boot应用程序中使用KafkaTemplate或者KafkaConsumer来发送或接收消息。 下面是一个简单的示例代码: ```java @Configuration @EnableKafka public class KafkaConfig { @Value("${spring.kafka.bootstrap-servers}") private String bootstrapServers; @Value("${spring.kafka.security.protocol}") private String securityProtocol; @Value("${spring.kafka.ssl.trust-store-location}") private String trustStoreLocation; @Value("${spring.kafka.ssl.trust-store-password}") private String trustStorePassword; @Value("${spring.kafka.ssl.key-store-location}") private String keyStoreLocation; @Value("${spring.kafka.ssl.key-store-password}") private String keyStorePassword; @Value("${spring.kafka.ssl.key-password}") private String keyPassword; @Value("${spring.kafka.ssl.endpoint-identification-algorithm}") private String endpointIdentificationAlgorithm; @Value("${spring.kafka.sasl.mechanism}") private String saslMechanism; @Value("${spring.kafka.sasl.jaas.config}") private String saslJaasConfig; @Bean public KafkaTemplate<String, String> kafkaTemplate() { return new KafkaTemplate<>(producerFactory()); } @Bean public ProducerFactory<String, String> producerFactory() { return new DefaultKafkaProducerFactory<>(producerConfigs()); } @Bean public Map<String, Object> producerConfigs() { Map<String, Object> props = new HashMap<>(); props.put(ProducerConfig.BOOTSTRAP_SERVERS_CONFIG, bootstrapServers); props.put(CommonClientConfigs.SECURITY_PROTOCOL_CONFIG, securityProtocol); props.put(SslConfigs.SSL_TRUSTSTORE_LOCATION_CONFIG, trustStoreLocation); props.put(SslConfigs.SSL_TRUSTSTORE_PASSWORD_CONFIG, trustStorePassword); props.put(SslConfigs.SSL_KEYSTORE_LOCATION_CONFIG, keyStoreLocation); props.put(SslConfigs.SSL_KEYSTORE_PASSWORD_CONFIG, keyStorePassword); props.put(SslConfigs.SSL_KEY_PASSWORD_CONFIG, keyPassword); props.put(SslConfigs.SSL_ENDPOINT_IDENTIFICATION_ALGORITHM_CONFIG, endpointIdentificationAlgorithm); props.put(SaslConfigs.SASL_MECHANISM, saslMechanism); props.put(SaslConfigs.SASL_JAAS_CONFIG, saslJaasConfig); return props; } @Bean public ConsumerFactory<String, String> consumerFactory() { return new DefaultKafkaConsumerFactory<>(consumerConfigs()); } @Bean public Map<String, Object> consumerConfigs() { Map<String, Object> props = new HashMap<>(); props.put(ConsumerConfig.BOOTSTRAP_SERVERS_CONFIG, bootstrapServers); props.put(CommonClientConfigs.SECURITY_PROTOCOL_CONFIG, securityProtocol); props.put(SslConfigs.SSL_TRUSTSTORE_LOCATION_CONFIG, trustStoreLocation); props.put(SslConfigs.SSL_TRUSTSTORE_PASSWORD_CONFIG, trustStorePassword); props.put(SslConfigs.SSL_KEYSTORE_LOCATION_CONFIG, keyStoreLocation); props.put(SslConfigs.SSL_KEYSTORE_PASSWORD_CONFIG, keyStorePassword); props.put(SslConfigs.SSL_KEY_PASSWORD_CONFIG, keyPassword); props.put(SslConfigs.SSL_ENDPOINT_IDENTIFICATION_ALGORITHM_CONFIG, endpointIdentificationAlgorithm); props.put(SaslConfigs.SASL_MECHANISM, saslMechanism); props.put(SaslConfigs.SASL_JAAS_CONFIG, saslJaasConfig); return props; } @Bean public ConcurrentKafkaListenerContainerFactory<String, String> kafkaListenerContainerFactory() { ConcurrentKafkaListenerContainerFactory<String, String> factory = new ConcurrentKafkaListenerContainerFactory<>(); factory.setConsumerFactory(consumerFactory()); return factory; } } ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值